Модель угроз безопасности ИСПДн

смотреть видео
Модель угроз безопасности информационной системы персональных данных определяет перечень актуальных угроз. В разделе представлены: образец модели угроз безопасности ИСПДн, описание, рекомендации по составлению.
Полезная информация
Описания

Модель угроз безопасности персональных данных определяет перечень актуальных угроз.

Современная система обеспечения информационной безопасности должна строиться на основе комплексирования разнообразных мер защиты и должна опираться на современные методы прогнозирования, анализа и моделирования возможных угроз безопасности информации и последствий их реализации.

Результаты моделирования предназначены для выбора адекватных оптимальных методов парирования угроз.

На стадии моделирования проводится изучение и анализ существующей обстановки и выявляются актуальные угрозы безопасности ПДн в составе ИСПДн. Для каждой выявленной ИСПДн составляется своя модель угроз.

Модель угроз строится в соответствии с требованиями Федерального Закона от 27.07.2006 г. № 152-ФЗ «О персональных данных». Кроме того, могут использоваться методические документы ФСТЭК России: «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн», «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн».

Исходными данными для проведения оценки и анализа обычно служат материалы «Акта проверки», результаты анкетирования сотрудников различных подразделений и служб, методические документы ФСТЭК и т.д.

Модель угроз должна быть составлена в соответствии с Методикой составления модели угроз и должна быть утверждена руководителем организации или комиссией, на основании Отчета о результатах проведения внутренней проверки.

Модель угроз (или как ее еще называют "Частная модель угроз") может разрабатываться ответственными за защиту персональных данных в организации. Также могут привлекаться сторонние эксперты. Разработчики модели угроз должны владеть полной информацией об информационной системе персональных данных, знать нормативную базу по защите информации. При отсутствии экспертов разработку модели угроз лучше доверить сторонней организации.

Дата принятия Модели угроз должна быть последующей после проведения внутренней проверки и принятия отчета о проведении внутренней проверки.

В модели угроз безопасности ИСПДн отражаются:

  • Непосредственно сами угрозы безопасности персональных данных. При обработке персональных данных в ИСПДн можно выделить следующие угрозы: создаваемые нарушителем (физическим лицом), создаваемые аппаратной закладкой, создаваемые вредоносными программами, угрозы специальных воздействий на ИСПДн, угрозы электромагнитного воздействия на ИСПДн, угрозы утечки информации по техническим каналам и т.д.
  • Источники угроз к ИСПДн. Возможными источниками угроз к ИСПДн могут являться: внешний нарушитель, внутренний нарушитель, программно-аппаратная закладка либо вредоносная программа.
  • Общая характеристика уязвимостей ИСПДн. В ней содержится информация об основных группах уязвимостей ИСПДн и их характеристиках, а также информация о причинах возникновения уязвимостей.
  • Используемые средства защиты информации. Для каждой ИСПДн должны быть определены необходимые меры по снижению опасности актуальных угроз.
Модель угроз безопасности ИСПДн

 
(Полное наименование оператора)

 

"УТВЕРЖДЕНО"
   
(должность) (личная подпись) (расшифровка подписи)
   

Частная модель

угроз безопасности персональных данных

при их обработке в ИСПДн АСУ

Введение

Современная система обеспечения информационной безопасности должна строиться на основе комплексирования разнообразных мер защиты и должна опираться на современные методы прогнозирования, анализа и моделирования возможных угроз безопасности информации и последствий их реализации.

Результаты моделирования предназначены для выбора адекватных оптимальных методов парирования угроз.

На стадии моделирования проведено изучение и анализ существующей обстановки и выявлены актуальные угрозы безопасности ПДн в составе ИСПДн.

Модель угроз построена в соответствии с требованиями Федерального Закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

 А также  методическими документами ФСТЭК России:

-  «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн»

-  «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн»

1.

Исходные данные

Исходными данными для проведения оценки и анализа служат:

- материалы «Акта проверки»;

- результаты анкетирования сотрудников различных подразделений и служб;

- методические документы ФСТЭК;

- требования постановления правительства;

- .

2.

Описание подхода к моделированию угроз безопасности ПДн

2.1.

Модель угроз безопасности разработана на основе методических документов ФСТЭК:

На основе «Базовой модели угроз безопасности ПДн при их обработке в ИСПДн» проведена классификация угроз безопасности и составлен перечень угроз безопасности.
На основе составленного перечня угроз безопасности ПДн в составе ИСПДн с помощью «Методики определения актуальных угроз безопасности ПДн при их обработке в ИСПДн» построена модель угроз безопасности ПДн в составе ИСПДн АСУ  и выявлены актуальные угрозы.

2.2.

Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия. 

2.3.

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

2.4.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

2.5.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

3.

Модель угроз

3.1.

Классификация угроз безопасности персональных данных

При обработке персональных данных в ИСПДн можно выделить следующие угрозы:

 

Наименование угрозы Описание угрозы Вероятность наступления Возможность реализации угрозы
3.2.

Источники угроз к ИСПДн

Источниками угроз в ИСПДн могут быть:

 

Наименование источника угроз Общая характеристика источника угроз

 

3.3.

Общая характеристика уязвимостей ИСПДн

Уязвимость ИСПДн – недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении автоматизированной информационной системы, которое может быть использовано для реализации угрозы безопасности персональных данных.

Причины возникновения уязвимостей:

 

К основным группам уязвимостей ИСПДн, относятся:

 
Группа уязвимости ИСПДн Характеристика уязвимостей
4.

Используемые средства защиты информации

Для обеспечения защиты информации используются следующие средства: .